浅谈城市轨道交通信号系统信息安全设计问题

　　1 信号系统信息安全隐患分析
　　(1)信号系统重要网段与其他网段之间缺乏可靠的技术隔离手段，缺乏有效的区域隔离，在不同安全域的网络边界没有部署访问控制设备，因此缺乏安全域之间的访问控制功能，缺乏对进出网络的信息内容进行过滤功能，不能实现对应用层协议命令级的控制，同时缺少防止地址欺骗的技术手段，同时对于网络中存在的非法接入和安全威胁缺乏检查、定位和阻断的能力， 对系统中存在的风险漏洞没有采取及时有限的管控措施，存在风险隐患。
　　(2)信号系统运维人员对信号系统的内部设备运维过程中存在随意接入等不严格的管理措施， 容易造成网络风暴、ARP 攻击、拒绝式服务攻击，上述问题容易消耗信号系统的资源，使得系统无法正常工作。
　　(3)信号系统的软件升级、设备维护等需要外部设备的接入，如运维人员的个人PC 设备及U 盘这些外部设备携病毒，容易造成信号系统中的终端设备被攻击， 使得信号系统中的控制设备所下达的某些指令发生改变，存在较大的安全隐患。
　　(4)信号系统中的维护和监控终端存在安全风险，现有终端的安全策略(只有用户名和弱口令)不能有效管控人员的登陆，因此存在非运维人员登陆到终端的安全隐患。
　　(5)部分信号系统缺乏有效的安全审计功能，未采取加密或其他措施实现系统管理数据、鉴别信息，并缺乏有效的软件容错能力。缺少技术手段保证在通信过程中数据的完整性，在通信过程中的报文或会话缺少有效的加密，重要业务数据传输和存储的保密性缺少保障。
　　2 设计原则
　　(1)适度安全原则
　　任何信息系统都不可能实现绝对的安全，在城市轨道交通信号系统信息安全方案设计上需要寻找在需求、风险和成本之间的平衡点， 过分的信息安全要求将会使系统运行更复杂并增加不必要成本。
　　(2)分区分域建设原则
　　分区分域是对信息系统进行安全保护的有效方法之一，由于地铁信号各子系统中各个信息的重要性是不同的，可以将具有相似特点的信息进行集合，进行整体防护，从而提高保障安全保护策略的有效性和均衡性。
　　(3)多重保护原则
　　任何信息安全措施都不能做到绝对的防御。需要建立一个多重防护系统，各层保护互相补充，当一层保护失效时，其他层保护依然能保护信息的安全。从产品的形态来讲应该综合应用硬件、软件、生物识别等技术。
　　(4)最小影响原则
　　应尽可能小的影响信号系统和网络的正常运行，不改变信号系统的网络拓扑，任何安全措施(包括安全措施设备故障情况)均不能对现有网络和信号系统的运行产生影响。
　　(5)可扩展性原则
　　信息安全是动态发展的，虽然现在的技术方案防范了目前的安全风险，但可能病毒、黑客技术的发展，原有的技术和方案可能无法满足其新的安全需求， 这时就需要对原有的安全技术方案进行升级， 所以现有的解决方案应该是具有可扩展性。
　　(6)可管理性原则
　　安全设备应易于管理，维护信息应能集成如信号维护子系统中， 通过信号维护子系统工作站对安全设备的运行状况进行监控、管理，并实现安全审计。
　　(7)可靠性原则
　　安全设备的选择要考虑设备的可靠性，优先选择成熟技术，可靠性高的设备。
　　3 设计方案
　　3.1 控制中心
　　控制中心作为独立的业务区域，在信号系统中主要功能是轨道交通运营管理调度，担负着指挥工作。根据区域内的业务模块和功能职责主要划分7 个子区域，其中包括：远程接入区(边界隔离)、安全管理服务器区域、业务服务器区域、核心交换区、外部应用接入区、维护管理区、中心调度区。控制中心信号系统安全建设，依据上述7 个子区域进行安全防护。远程接入区，外部应用接入区部署安全防护网关系统，通过安全防护网关将控制中心和正线、外部接口隔离。核心交换区的安全网交换机、ATS 交换机、维护网交换机旁路部署入侵防御系统，入侵防御系统对数据进行检测，通过模式匹配和异常检测、统计分析、以及抗IDS/IPS 逃逸等多种检测技术，防止蠕虫、木马、间谍软件、广告软件、缓冲区溢出、扫描、非法连接、SQL 注入、XSS 跨站脚本等多种攻击造成的侵害，通过向运维人员做出告警，及时做出应急响应。安全管理服务器区旁路部署集中监管与综合审计系统、漏洞扫描管理系统、接入控制系统、防病毒服务器、综合运维安全审计系统。集中监管与综合审计系统具有采集网络设备资产信息、漏洞信息、由安全事件与网络行为构成的威胁信息并做出预警，对安全事故进行策略联动并进行流程化的应急响应管理的功能; 防病毒服务器进行网关级的恶意代码的检测与清除，并定期升级恶意代码库。接入控制系统能对外部的非法外联做出及时的阻断和告警的功能; 综合运维安全审计系统结合安全防护网关的策略， 满足运维人员对信号系统的运维管控工作， 并对运维人员通过综合运维安全审计系统所进行的操作监管和回溯。业务服务器区、中心调度区、维护管理区的服务器及工作站需安装部署防病毒软件，防止因外部文件中存在的木马或病毒等威胁造成的破坏。
　　3.2 正线车站、车辆段(停车场)
　　每个正线车站、车辆段(停车场)作为独立的业务区域，根据区域内的业务模块和功能职责主要划分4 个子区域， 其中包括：业务边界隔离区、核心交换区、车站调度维护业务区、工控业务区。
　　在业务边界隔离区，部署安全防护网关系统，通过安全防护网关将各车站、控制中心进行隔离。在核心交换区的ATS 接入交换机、安全网接入交换机、维护网接入交换机这些接入网络设备上旁路部署入侵防御系统，车站入侵防御系统与控制中心入侵防御系统功能基本相同。
　　车站调度维护业务区的工作站等主机设备，需安装部署防病毒软件， 防止因外部文件中存在的木马或病毒程序等威胁造成的破坏，同时作为车站工作人员，保证主机系统和用户之间的关联安全。
　　车辆段和停车场的拓扑结构及业务类型同设备车站基本相同，安全加固的手段可参考设备集中站的安全建设方案。
　　4 结束语
　　城市轨道交通信号系统信息安全直接关系到行车安全，但只依靠技术手段任何信息系统都不能做到绝对的安全。一方面需要通过依靠网络信息安全技术、设备和软件;另一方面需要靠城市轨道交通运维单位制定符合信息安全等级保护管理要求的完善信息安全管理制度，并严格执行，让信息安全技术和产品在实际应用中能充分发挥其作用。